{"id":31429,"date":"2026-06-15T08:43:06","date_gmt":"2026-06-15T06:43:06","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=31429"},"modified":"2026-06-10T08:43:37","modified_gmt":"2026-06-10T06:43:37","slug":"locked-shields-2026-dachl-team-erreicht-platz-zwei-bei-weltweit-groesster-cyberabwehruebung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=31429","title":{"rendered":"Locked Shields 2026: DACHL-Team erreicht Platz zwei bei weltweit gr\u00f6\u00dfter Cyberabwehr\u00fcbung"},"content":{"rendered":"\n

Cyberangriffe auf kritische Infrastrukturen werden zunehmend komplexer und professioneller. Entsprechend wichtig sind realit\u00e4tsnahe Trainingsszenarien, in denen Sicherheitsverantwortliche ihre F\u00e4higkeiten unter Extrembedingungen testen k\u00f6nnen. Die NATO-\u00dcbung Locked Shields gilt dabei als weltweit anspruchsvollste Live-Fire-Cyber\u00fcbung. Mehr als 4.000 Fachleute aus 41 Nationen nahmen 2026 an dem Gro\u00dfereignis teil. Mit einem zweiten Platz im Gesamtklassement erzielte das DACHL-Team ein herausragendes Ergebnis.<\/p>\n\n\n\n

\"\"
Kerstin H\u00f6rmann und J\u00f6rn Tillmanns von Orange Cyberdefense Germany unterst\u00fctzten das DACHL-Team bei der NATO-Cyber\u00fcbung Locked Shields 2026 in Kalkar. Quelle: Orange Cyberdefense Germany<\/figcaption><\/figure>\n\n\n\n

Das gemeinsame Team aus Bundeswehr, \u00f6sterreichischem Bundesheer, Schweizer Armee und luxemburgischen Streitkr\u00e4ften belegte bei der NATO-Cyberabwehr\u00fcbung Locked Shields 2026 den zweiten Platz unter 16 multinationalen Teams. Zus\u00e4tzlich erreichte das unter deutscher F\u00fchrung stehende Blue Team den ersten Rang in den Kategorien Technische Cyberabwehr und Strategische Kommunikation.<\/p>\n\n\n\n

Zu den mehr als 190 beteiligten Fachleuten aus Streitkr\u00e4ften, Beh\u00f6rden und Wirtschaft geh\u00f6rten auch Kerstin H\u00f6rmann und J\u00f6rn Tillmanns von Orange Cyberdefense Germany. Die \u00dcbung wurde vom NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) in Tallinn organisiert und simulierte die Verteidigung der digitalen Infrastruktur eines fiktiven Staates gegen koordinierte Cyberangriffe in Echtzeit.<\/p>\n\n\n\n

Vom 20. bis 24. April verteidigten die Blue Teams im \u00dcbungshauptquartier in Kalkar komplexe IT-Systeme kritischer Infrastrukturen gegen spezialisierte Red Teams. Die Angreifer hatten sich \u00fcber ein Jahr auf die Szenarien vorbereitet und setzten neben bekannten Schwachstellen auch eigens entwickelte Werkzeuge und Angriffsmethoden ein. Dadurch waren viele Attacken nicht \u00fcber klassische Signaturen oder Indicators of Compromise erkennbar.<\/p>\n\n\n\n

Kerstin H\u00f6rmann, Managed-SIEM-Expertin bei Orange Cyberdefense, und J\u00f6rn Tillmanns, CyberSOC Tech Lead und Senior Security Analyst, arbeiteten in den Bereichen Windows und Web-Applikationen. Zu ihren Aufgaben geh\u00f6rten die Anbindung von Logquellen, die H\u00e4rtung der Systeme sowie die Erkennung und Abwehr laufender Angriffe. \u201eInnerhalb k\u00fcrzester Zeit mussten Logquellen angebunden und Security-Tools ausgerollt werden, damit Analysten die Angriffe fr\u00fchzeitig erkennen und wirksam darauf reagieren k\u00f6nnen. Hier z\u00e4hlt jede Sekunde\u201c, erkl\u00e4rt H\u00f6rmann.<\/p>\n\n\n\n

W\u00e4hrend der \u00dcbung kamen alle drei zentralen Technologien moderner Security Operations Center zum Einsatz: SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) und NDR (Network Detection and Response). Da viele Angriffe mit bislang unbekannten Werkzeugen durchgef\u00fchrt wurden, setzte das Team verst\u00e4rkt auf verhaltensbasierte Erkennungsmethoden. Dabei werden Angreifer anhand ihrer Taktiken, Techniken und Prozeduren (TTPs) identifiziert, anstatt sich ausschlie\u00dflich auf bekannte Signaturen zu verlassen.<\/p>\n\n\n\n

Bewertet wurden die Teams nicht nur hinsichtlich ihrer F\u00e4higkeit, Angriffe abzuwehren. Auch die Wiederherstellung kompromittierter Systeme sowie die Sammlung und Weitergabe von Cyber Threat Intelligence flossen in die Gesamtwertung ein. \u201eSeit sechs Jahren arbeite ich im Bereich Detection und Response, aber Locked Shields ist eine andere Liga. Die Angriffe sind hochdynamisch, pr\u00e4zise orchestriert und erzeugen permanenten Entscheidungsdruck\u201c, sagt Tillmanns.<\/p>\n\n\n\n

F\u00fcr Orange Cyberdefense war es die zweite Teilnahme in Folge. Bereits 2025 geh\u00f6rten Mitarbeitende des Unternehmens zum Siegerteam von Deutschland und Singapur. Die bei Locked Shields gewonnenen Erkenntnisse flie\u00dfen direkt in die operative Sicherheitsarbeit ein, etwa in die Konfiguration von SIEM-Systemen, das Detection Engineering und die Incident Response. Dar\u00fcber hinaus st\u00e4rkt die \u00dcbung die internationale Zusammenarbeit zwischen Sicherheitsbeh\u00f6rden, Streitkr\u00e4ften und Unternehmen.<\/p>\n\n\n\n

\u201eDie \u00dcbung spiegelt Angriffsmuster wider, denen Unternehmen in hochregulierten Branchen und im Bereich kritischer Infrastruktur t\u00e4glich begegnen. Der Unterschied: Bei Locked Shields lassen sich Fehler machen, aus denen wir lernen k\u00f6nnen, bevor der Ernstfall eintritt\u201c, betont H\u00f6rmann.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Cyberangriffe auf kritische Infrastrukturen werden zunehmend komplexer und professioneller. Entsprechend wichtig sind realit\u00e4tsnahe Trainingsszenarien, in denen Sicherheitsverantwortliche ihre F\u00e4higkeiten unter Extrembedingungen testen k\u00f6nnen. Die NATO-\u00dcbung Locked Shields gilt dabei als weltweit anspruchsvollste Live-Fire-Cyber\u00fcbung. Mehr als 4.000 Fachleute aus 41 Nationen nahmen 2026 an dem Gro\u00dfereignis teil. Mit einem zweiten Platz im Gesamtklassement erzielte das DACHL-Team ein herausragendes Ergebnis.<\/p>\n","protected":false},"author":81,"featured_media":31430,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37],"tags":[1088,21010,25998,7265,1411],"class_list":["post-31429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","tag-cybersecurity","tag-kritischeinfrastruktur","tag-lockedshields","tag-nato","tag-soc"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=31429"}],"version-history":[{"count":3,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31429\/revisions"}],"predecessor-version":[{"id":31434,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/31429\/revisions\/31434"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/31430"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=31429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=31429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=31429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}